Un nuovo malware Android, chiamato ToxicPanda, sta colpendo principalmente l’Italia, rubando dati bancari e prendendo il controllo dei dispositivi.
Un nuovo malware, noto come ToxicPanda, sta colpendo i dispositivi Android in Europa e America Latina, con l’Italia come epicentro principale delle infezioni. Il team di ricerca di Cleafy ha identificato questa minaccia, che rappresenta un crescente pericolo per la sicurezza bancaria.
ToxicPanda appartiene alla moderna generazione RAT (Remote Access Trojan) di malware mobile. Questa categoria permette ai cybercriminali di eseguire takeover degli account (ATO) direttamente dal dispositivo infetto, sfruttando la tecnica di On Device Fraud (ODF). In particolare, il malware ha già colpito oltre 1.500 dispositivi, di cui il 56,8% solo in Italia. Altri Paesi interessati sono Portogallo (18,7%), Hong Kong (4,6%), Spagna (3,9%) e Perù (3,4%), segno di una strategia di espansione verso nuovi mercati europei e latinoamericani.
ToxicPanda si distingue per diverse capacità avanzate, che lo rendono particolarmente pericoloso per le istituzioni finanziarie. Innanzitutto, abusa dei servizi di accessibilità di Android per ottenere permessi elevati, manipolare gli input dell’utente e accedere ai dati di altre applicazioni, diventando così una minaccia efficace contro le app bancarie. Inoltre, consente agli hacker di prendere il controllo completo dei dispositivi infetti, compiendo operazioni bancarie fraudolente e trasferimenti di denaro senza che l’utente ne sia consapevole. È anche in grado di intercettare le OTP (One-Time Password) inviate via SMS o app di autenticazione, bypassando così la protezione 2FA e facilitando transazioni fraudolente. Il malware, infine, impiega tecniche avanzate di offuscamento del codice per eludere i sistemi di sicurezza, rendendo complessa l’analisi da parte dei ricercatori.
I ricercatori spiegano che il malware Android si diffonde principalmente tramite sideloading, ovvero quando gli utenti installano app da fonti esterne agli app store ufficiali, come Google Play Store. I cybercriminali creano siti web che imitano app popolari.
La raccomandazione resta sempre quella di scaricare le app da fonti ufficiali e di mantenere i dispositivi aggiornati con le patch di sicurezza. Sebbene attualmente pericoloso, ToxicPanda mostra segni di codice in fase di “refactoring”, come log di debug e codice inattivo. Questi elementi, insieme a somiglianze con il malware TGToxic, suggeriscono che il malware sia in evoluzione e possa diventare ancora più pericoloso.
Cleafy sottolinea che le soluzioni antivirus attuali spesso faticano a rilevare queste minacce emergenti, evidenziando l’importanza di un sistema di “Early Warning” per monitorare e bloccare tempestivamente malware come ToxicPanda, prima che si diffondano su larga scala.
